Décrire les attaques basées sur l’authentification

  • 4 minutes

Les attaques d’authentification se produisent lorsque quelqu’un tente de voler les informations d’identification d’une autre personne. Cet attaquant peut alors prétendre être cette personne. Étant donné que l’un des objectifs de ces types d’attaques consiste à emprunter l’identité d’un utilisateur légitime, elles portent également le nom d’« attaques d’identité ». Les attaques courantes incluent, sans s’y limiter, les suivantes :

  • Attaque par force brute
  • Attaque par dictionnaire
  • Credential stuffing
  • Enregistrement de frappe
  • Ingénierie sociale

Attaque par force brute

Dans une attaque par force brute, un criminel tentera d’obtenir un accès en essayant simplement différentes combinaisons de noms d’utilisateur et de mots de passe. En général, les attaquants disposent d’outils qui automatisent ce processus en utilisant des millions de combinaisons de noms d’utilisateur et de mots de passe. Les mots de passe simples, avec authentification à un seul facteur, sont vulnérables aux attaques par force brute.

Attaque par dictionnaire

Une attaque par dictionnaire est une forme d’attaque par force brute, dans laquelle un dictionnaire de mots couramment utilisés est employé. Pour éviter les attaques par dictionnaire, il est important d’utiliser des symboles, des chiffres et des combinaisons de mots multiples dans un mot de passe.

Credential stuffing

Le credential stuffing est une méthode d’attaque qui tire parti du fait que de nombreuses personnes utilisent le même nom d’utilisateur et le même mot de passe sur de nombreux sites. Les attaquants utilisent des informations d’identification volées, généralement obtenues après une violation des données sur un site, pour tenter d’accéder à d’autres zones. Les attaquants utilisent généralement des outils logiciels pour automatiser ce processus. Pour éviter le credential stuffing, il est important de ne pas réutiliser les mots de passe et de les changer régulièrement, en particulier après une violation de sécurité.

Enregistrement de frappe

L’enregistrement de frappe implique un logiciel malveillant qui enregistre les frappes au clavier. À l’aide de l’enregistreur de frappe, une personne malveillante peut consigner (voler) des combinaisons de nom d’utilisateur et de mot de passe, qui peuvent ensuite être utilisées pour les attaques de credential stuffing. Il s’agit d’une attaque courante dans les cybercafés ou partout où vous utilisez un ordinateur partagé pour vous connecter. Pour éviter l’enregistrement de frappe, n’installez pas de logiciels non fiables et utilisez un logiciel antivirus réputé.

L’enregistrement de frappe ne se limite pas aux ordinateurs. Supposons qu’un acteur malveillant installe un boîtier ou un dispositif sur le lecteur de cartes et le clavier d’un distributeur automatique de billets. Lorsque vous insérez votre carte, elle passe d’abord par le lecteur de carte de l’acteur malveillant, qui en capture les détails, avant d’être introduite dans le lecteur de carte du distributeur automatique. Maintenant, quand vous entrez votre code secret en utilisant le clavier de l’acteur malveillant, vous lui donnez également votre code secret.

Ingénierie sociale

L’ingénierie sociale consiste à essayer d’amener les gens à révéler des informations ou à effectuer une action pour permettre une attaque.

La plupart des attaques d’authentification impliquent l’exploitation d’ordinateurs ou une tentative d’essayer de nombreuses combinaisons d’identifiants. Les attaques d’ingénierie sociale sont différentes dans la mesure où elles exploitent les vulnérabilités des humains. L’attaquant tente d’obtenir l’approbation d’un utilisateur légitime. Il persuade l’utilisateur de divulguer des informations ou d’entreprendre une action qui lui permet de causer des dommages ou de voler des informations.

Un certain nombre de techniques d’ingénierie sociale peuvent être utilisées pour le vol d’authentification, notamment :

  • Le hameçonnage se produit lorsqu’une personne malveillante envoie un e-mail apparemment légitime avec l’objectif de faire en sorte qu’un utilisateur révèle ses informations d’authentification. Par exemple, un e-mail peut sembler provenir de la banque de l’utilisateur. Un lien s’ouvre sur une page qui ressemble à celle de la banque, mais qui est en réalité un faux site. Lorsqu’un utilisateur se connecte sur le faux site, ses informations d’identification deviennent accessibles à l’attaquant. Il existe plusieurs variantes du hameçonnage, notamment le spear-phishing, qui cible des organisations, des entreprises ou des personnes spécifiques.
  • Le prétexte est une méthode où une personne malveillante gagne la confiance de la victime et la convainc de divulguer des informations sécurisées. L’attaquant peut ensuite les utiliser pour voler son identité. Par exemple, un pirate peut vous appeler, en prétendant être de la banque, et vous demander votre mot de passe pour vérifier votre identité. Une autre approche utilise les réseaux sociaux. Vous pourriez être invité à répondre à une enquête ou à un quiz, où l’on vous pose des questions en apparence aléatoires et innocentes, qui vous amènent à révéler des faits personnels, ou vous recevrez quelque chose qui a l’air amusant, comme inventer le nom de votre groupe pop-star imaginaire en utilisant le nom de votre premier animal de compagnie et votre lieu de naissance.
  • L’appâtage est une forme d’attaque dans laquelle le criminel offre une récompense ou un prix factice pour encourager la victime à divulguer des informations sécurisées.

Autres méthodes d’attaque basées sur l’authentification

Il ne s’agit là que de quelques exemples d’attaques basées sur l’authentification. De nouveaux types d’attaques sont toujours possibles, mais toutes celles qui sont énumérées ici peuvent être évitées en éduquant les gens et en utilisant l’authentification multifacteur.